Planeamiento de capacidad de ATA
Se aplica a: Advanced Threat Analytics versión 1.9
Este artículo ayuda a determinar cuántos servidores de ATA se necesitan para supervisar la red. Ayuda a calcular el número de puertas de enlace o puertas de enlace ligeras de ATA que necesita y la capacidad del servidor para el Centro de ATA y las puertas de enlace de ATA.
Nota:
El Centro de ATA se puede implementar en cualquier proveedor de IaaS siempre que se cumplan los requisitos de rendimiento descritos en este artículo.
Uso de la herramienta de dimensionamiento
La manera recomendada y más sencilla de determinar la capacidad de la implementación de ATA es usar la herramienta de dimensionamiento de ATA. Ejecute la herramienta de dimensionamiento de ATA y, desde los resultados del archivo de Excel, use los siguientes campos para determinar la capacidad de ATA que necesita:
CPU y memoria del Centro de ATA: coincidencia entre el campo Busy Packets/sec del archivo de resultados de la tabla del Centro de ATA y el campo PACKETS PER SECOND de la tabla del Centro de ATA.
Almacenamiento del Centro de ATA: coincidencia entre el campo Avg Packets/sec del archivo de resultados de la tabla del Centro de ATA y el campo PACKETS PER SECOND de la tabla del Centro de ATA.
Puerta de enlace de ATA: coincidencia entre el campo Busy Packets/sec de la tabla de la puerta de enlace de ATA del archivo de resultados y el campo PACKETS PER SECOND de la tabla de la puerta de enlace de ATA o de la tabla de la puerta de enlace ligera de ATA, en función del tipo de puerta de enlace que elija.
Nota:
Dado que los distintos entornos varían y tienen varias características de tráfico de red especiales e inesperadas, después de implementar inicialmente ATA y ejecutar la herramienta de dimensionamiento, es posible que tenga que ajustar la implementación para optimizar la capacidad.
Si no puede usar la herramienta de dimensionamiento de ATA, recopile manualmente la información del contador de paquetes por segundo con un intervalo de recopilación bajo (aproximadamente de 5 segundos) de todos los controladores de dominio durante 24 horas. Después, para cada controlador de dominio, calcule el promedio diario y el promedio del período más ocupado (15 minutos). En las secciones siguientes se proporcionan instrucciones sobre cómo recopilar el contador de paquetes por segundo de un controlador de dominio.
Nota:
Dado que los distintos entornos varían y tienen varias características de tráfico de red especiales e inesperadas, después de implementar inicialmente ATA y ejecutar la herramienta de dimensionamiento, es posible que tenga que ajustar la implementación para optimizar la capacidad.
Dimensionamiento del Centro de ATA
El Centro de ATA requiere un mínimo recomendado de 30 días de datos para el análisis de comportamiento del usuario.
| Paquetes por segundo de todos los CD | CPU (núcleos*) | Memoria (GB) | Almacenamiento de base de datos por día (GB) | Almacenamiento de base de datos por mes (GB) | E/S por segundo** |
|---|---|---|---|---|---|
| 1000 | 2 | 32 | 0,3 | 9 | 30 (100) |
| 40 000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200 000 | 8 | 64 | 60 | 1800 | 1000 (1500) |
| 400 000 | 12 | 96 | 120 | 3600 | 2000 (2500) |
| 750 000 | 24 | 112 | 225 | 6750 | 2500 (3000) |
| 1 000 000 | 40 | 128 | 300 | 9000 | 4000 (5000) |
*Esto incluye núcleos físicos, no núcleos Hyper-Threading.
**Números promedio (números máximos)
Nota:
- El Centro de ATA puede encargarse de un máximo agregado de 1 000 000 de paquetes por segundo de todos los controladores de dominio supervisados. En algunos entornos, el mismo Centro de ATA puede encargarse del tráfico general superior a 1 000 000 y algunos entornos pueden superar la capacidad de ATA. Póngase en contacto con nosotros en azureatpfeedback@microsoft.com para obtener ayuda para planificar y estimar entornos grandes.
- Si el espacio disponible alcanza un mínimo del 20 % o de 200 GB, se elimina la colección de datos más antigua. Si no es posible reducir correctamente la recopilación de datos a este nivel, se registrará una alerta. ATA seguirá funcionando hasta que se alcance el umbral del 5 % o de 50 GB libres. En este momento, ATA dejará de rellenar la base de datos y se emitirá una alerta adicional.
- Puede implementar el Centro de ATA en cualquier proveedor de IaaS siempre que se cumplan los requisitos de rendimiento descritos en este artículo.
- La latencia de almacenamiento para las actividades de lectura y escritura debe estar por debajo de 10 ms.
- La relación entre las actividades de lectura y escritura es aproximadamente de 1:3 por debajo de 100 000 paquetes por segundo y 1:6 por encima de 100 000 paquetes por segundo.
- Al ejecutar el Centro como una máquina virtual (VM), el Centro requiere que toda la memoria se asigne a la máquina virtual, todo el tiempo. Para obtener más información sobre cómo ejecutar el Centro de ATA como una máquina virtual, consulte Requisitos del Centro de ATA.
- Para obtener un rendimiento óptimo, establezca la opción de energía del Centro de ATA en Alto rendimiento.
- Al trabajar en un servidor físico, la base de datos de ATA necesita inhabilitar el acceso a memoria no uniforme (NUMA) en el BIOS. El sistema puede hacer referencia a NUMA como intercalación de nodos, en cuyo caso tiene que habilitar la intercalación de nodos para inhabilitar NUMA. Para obtener más información, consulte la documentación del BIOS. Esto no es relevante cuando el Centro de ATA se ejecuta en un servidor virtual.
Elección del tipo de puerta de enlace adecuado para la implementación
En una implementación de ATA se admite cualquier combinación de los tipos de puerta de enlace de ATA:
- Solo puertas de enlace de ATA
- Solo puertas de enlace ligeras de ATA
- Una combinación de ambas
Al decidir el tipo de implementación de puerta de enlace, tenga en cuenta las siguientes ventajas:
| Tipo de puerta de enlace | Ventajas | Costos | Topología de implementación | Uso del controlador de dominio |
|---|---|---|---|---|
| Puerta de enlace de ATA | La implementación fuera de banda dificulta que los atacantes detecten que ATA está presente. | Mayor | Se instala junto con el controlador de dominio (fuera de banda). | Admite hasta 50 000 paquetes por segundo. |
| Puerta de enlace ligera de ATA | No requiere un servidor dedicado ni una configuración de creación de reflejo del puerto. | Menor | Se instala en el controlador de dominio | Admite hasta 10 000 paquetes por segundo. |
Estos son ejemplos de escenarios en los que los controladores de dominio deben estar cubiertos por la puerta de enlace ligera de ATA:
Sitios de sucursales
Controladores de dominio virtuales implementados en la nube (IaaS)
Estos son ejemplos de escenarios en los que los controladores de dominio deben estar cubiertos por la puerta de enlace de ATA:
- Centros de datos de la empresa matriz (con controladores de dominio con más de 10 000 paquetes por segundo)
Dimensionamiento de la puerta de enlace ligera de ATA
Una puerta de enlace ligera de ATA puede admitir la supervisión de un controlador de dominio en función de la cantidad de tráfico de red que genera el controlador de dominio.
| Paquetes por segundo* | CPU (núcleos**) | Memoria (GB)*** |
|---|---|---|
| 1000 | 2 | 6 |
| 5000 | 6 | 16 |
| 10 000 | 10 | 24 |
*Número total de paquetes por segundo en el controlador de dominio que supervisa la puerta de enlace ligera de ATA específica.
**Número total de núcleos sin Hyper-Threading que este controlador de dominio ha instalado.
Aunque el Hyper-Threading es aceptable para la puerta de enlace ligera de ATA, al planificar la capacidad, debe contar núcleos reales y no núcleos con Hyper-Threading.
***Cantidad total de memoria que ha instalado este controlador de dominio.
Nota:
- Si el controlador de dominio no tiene los recursos necesarios para la puerta de enlace ligera de ATA, el rendimiento del controlador de dominio no se ve afectado, pero es posible que la puerta de enlace ligera de ATA no funcione según lo previsto.
- Al ejecutar la puerta de enlace como una máquina virtual (VM), la puerta de enlace requiere que toda la memoria se asigne a la máquina virtual, todo el tiempo. Para obtener más información sobre cómo ejecutar la puerta de enlace de ATA como una máquina virtual, consulte Requisitos de Memoria dinámica.
- Para obtener un rendimiento óptimo, establezca la opción de energía de la puerta de enlace ligera de ATA en Alto rendimiento.
- Se requiere un mínimo de 5 GB de espacio y se recomiendan 10 GB, incluido el espacio necesario para los archivos binarios de ATA, los registros de ATA y los registros de rendimiento.
Dimensionamiento de la puerta de enlace de ATA
Tenga en cuenta los siguientes problemas al decidir cuántas puertas de enlace de ATA se van a implementar.
- Bosques y dominios de Active Directory
ATA puede supervisar el tráfico de varios dominios de un único bosque de Active Directory. La supervisión de varios bosques de Active Directory requiere implementaciones de ATA independientes. No configure una única implementación de ATA para supervisar el tráfico de red de controladores de dominio de diferentes bosques. - Creación de reflejo del puerto
Las consideraciones de creación de reflejo del puerto pueden requerir la implementación de varias puertas de enlace de ATA por puerta de enlace de datos o sitio de sucursal. - Capacidad
Una puerta de enlace de ATA puede admitir la supervisión de varios controladores de dominio, en función de la cantidad de tráfico de red de los controladores de dominio que se supervisan.
| Paquetes por segundo* | CPU (núcleos**) | Memoria (GB) |
|---|---|---|
| 1000 | 1 | 6 |
| 5000 | 2 | 10 |
| 10 000 | 3 | 12 |
| 20.000 | 6 | 24 |
| 50.000 | 16 | 48 |
*Número promedio total de paquetes por segundo de todos los controladores de dominio supervisados por la puerta de enlace de ATA específica durante su hora más ocupada del día.
*La cantidad total de tráfico reflejado de puertos del controlador de dominio no puede superar la capacidad de la NIC de captura en la puerta de enlace de ATA.
**El subproceso de Hyper-Threading debe estar deshabilitado.
Nota:
- Al ejecutar la puerta de enlace como una máquina virtual (VM), la puerta de enlace requiere que toda la memoria se asigne a la máquina virtual, todo el tiempo. Para obtener más información sobre cómo ejecutar la puerta de enlace de ATA como una máquina virtual, consulte Requisitos de Memoria dinámica.
- Para obtener un rendimiento óptimo, establezca la opción de energía de la puerta de enlace de ATA en Alto rendimiento.
- Se requiere un mínimo de 5 GB de espacio y se recomiendan 10 GB, incluido el espacio necesario para los archivos binarios de ATA, los registros de ATA y los registros de rendimiento.